Confondre confidentialité et sécurité : une erreur fatale
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lorsque la confidentialité en ligne tente d'exister sans sécurité, le chaos règne. Il suffit de demander à Ross Ulbricht.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
Lors d'un récent vol long-courrier, j'en ai profité pour dévorer un volume, franchement, insensé d'épisodes de podcast. En me tenant au courant de tant de séries différentes, je ne suis jamais à court de quelque chose à écouter, avec une conversation captivante, quoique unilatérale, d'une simple pression sur l'écran de mon téléphone.
Finalement, je suis arrivée à un épisode du podcast True Crime, Dossier. Cette série dramatique et sans limites (avec un animateur à la voix inquiétante et anonyme) a abordé un sujet qui fascine même les technologues les plus avertis et les plus avertis : le deep web et l'ascension cataclysmique du site de commerce de contrebande Silk Road. Divisé en deux parties, ceux qui sont au fait de l'essor et de la chute de Silk Road auraient sans aucun doute suivi l'actualité de l'affaire, mais le podcast dévoile chaque petit détail, dans un récit délicieux et tranchant.
La route de la soie : les leçons du donjon du Deep Web
Si vous ne connaissez pas les tenants et aboutissants de Silk Road, le résumé de TL ; DR est qu'un homme a créé un site Web commercial sur le deep web, à l'abri des regards indiscrets du grand public et invisible sans l'utilisation d'un logiciel spécial, le navigateur Tor, pour être exact. Au départ, le site ne proposait que des champignons magiques cultivés sur place, mais, pratiquement du jour au lendemain, il a explosé avec des vendeurs proposant tout, des drogues dures aux armes illégales en passant par les informations de cartes de crédit volées. Vous pouvez vous mettre à jour ici. Le créateur et l'administrateur du site utilisaient le pseudonyme inspiré de Princess Bride, Dread Pirate Roberts. Il était tout le monde, il n'était personne. Tous les utilisateurs ont échangé une véritable quantité de produits illégaux, et ils l'ont fait de manière totalement anonyme (et ont ainsi fait du Bitcoin la réputation de monnaie de prédilection des trafiquants de drogue ; un surnom qu'il commence à peine à changer).
Cependant, l'expérience anti-establishment de Dread Pirate Roberts était une véritable bête en soi. Bientôt, des tueurs à gages ont fait de la publicité pour leurs services. De mauvaises personnes faisaient de mauvaises choses... et il était enivré par sa nouvelle fortune insondable. Il a même essayé de recourir aux services d'un tueur à gages annoncé pour se débarrasser d'un ancien employé. Bref, il s'agit de l'une des nombreuses décisions difficiles qui ont entraîné sa perte. Il a été démasqué sous le nom de Ross Ulbricht et il est actuellement en train de pourrir dans une cellule de prison américaine, où il purge une double peine de prison à perpétuité plus quarante ans sans possibilité de libération conditionnelle.
Mais comment a-t-il été arrêté si tout était totalement privé et anonyme ?
Eh bien, pour le dire franchement : il était un codeur plutôt nul. Le site de la Route de la soie lui-même ressemblait à une vieille barge qui fuyait et échouée dans l'océan. Étant donné qu'il s'agissait d'une plaque tournante d'activités illégales (et de toutes les données sous-jacentes à cette activité), elle n'était pas du tout sécurisée ; c'était une cible facile à exploiter par un pirate informatique opportuniste. Pour être honnête, lorsque vous êtes le cerveau d'une énorme entreprise de trafic de drogue illégale, il n'est probablement pas facile de trouver des employés compétents qui aimeraient participer à vos activités. Il n'a pas caché non plus ses lacunes en matière de compétences - il a même posté sous son vrai nom sur Stack Overflow (oui, c'est son compte utilisateur), demandant de l'aide pour configurer correctement le code de son site pour se connecter à Tor en utilisant Curl en PHP. Il a changé son vrai nom en « frosty » moins d'une minute après la publication, mais cela n'a clairement pas aidé... En fait, cela a probablement fait encore plus de mal : la clé de cryptage du serveur Silk Road se terminait par la sous-chaîne « frosty @frosty », l'impliquant ainsi davantage une fois que le FBI a eu vent de son odeur.
Malgré une telle pression en faveur de la confidentialité, avec des messages cryptés, des devises et des instructions explicites sur la sécurisation de la contrebande elle-même pendant le transit et la livraison, le site n'était pas la forteresse impénétrable de la fantaisie libertaire qu'Ulbricht aurait pu imaginer. Les personnes compétentes (lire : les programmeurs employés par le FBI) ont lentement mais sûrement tout découvert pour tout révéler... y compris l'identité de milliers de personnes ayant effectué des transactions sur le site. Il est possible que ceux qui ont acheté des produits coquins il y a de nombreuses années se fassent encore frapper à la porte à un moment ou à un autre.
Le FBI a publié documentation expliquant comment ils ont pu pénétrer Silk Road, l'explication générale étant l'utilisation d'une fuite d'adresse IP. Une mauvaise configuration de la page de connexion de Silk Road a révélé l'adresse IP et donc l'emplacement physique de ses serveurs, sans qu'aucun piratage sournois ne soit nécessaire. Une erreur de débutant, bien sûr, qui a finalement conduit le FBI directement à Ross Ulbricht.
Certains pensent que cette faille, si elle existait, aurait été repérée bien avant ce moment par l'un des nombreux professionnels de la sécurité surveillant le site. Nik Cubrilovic, un consultant en sécurité australien, affirme qu'il n'y était tout simplement pas dans une interview accordée à WIRED:
« Il est impossible de se connecter à un site Tor et de voir l'adresse d'un serveur qui n'est pas un nœud Tor. La façon dont ils essaient de faire croire à un jury ou à un juge que cela s'est produit n'a tout simplement aucun sens sur le plan technique. »
Cubrilovic poursuit en faisant allusion au fait que les informations peuvent avoir été obtenues par des pratiques de piratage illégales. Cette pratique semble être une injection SQL, une rumeur non prouvée qui a été discutée comme méthode d'extraction plausible sur de nombreux sites depuis.
Les aspects juridiques des tactiques du FBI font l'objet d'une discussion totalement distincte. Le fait que ces informations aient pu être obtenues est révélateur des mauvaises pratiques de sécurité de Silk Road, bien que les utilisateurs considèrent généralement que le site est « privé ». Lorsque la confidentialité est confondue avec la sécurité, le risque d'exposition à des vulnérabilités est très certainement accru.
Il est également possible que le site fonctionne toujours (dans sa forme originale, du moins ; il a été ressuscité à plusieurs reprises, et il existe des sites encore plus grands comme celui-ci en ce moment) si Ross Ulbricht avait fait la distinction entre confidentialité et sécurité, en travaillant activement pour garantir les deux avant qu'il ne devienne une lampe chauffante géante, attirant tous les escrocs peu recommandables ayant des connaissances technologiques légèrement supérieures à la moyenne de la planète. Au lieu de cela, le club privé et tous ses secrets ont été révélés dès que quelqu'un a trouvé le moyen d'ouvrir la porte.
Vous n'êtes pas un baron de la drogue, alors pourquoi vous en soucier ?
La perte de Silk Road et l'emprisonnement de son fondateur ne sont pas une histoire triste et sympathique, mais il s'agit d'une étude de cas fascinante sur les différences nuancées entre la confidentialité et une véritable sécurité robuste du site. De nombreuses opérations légitimes nécessitent la confidentialité des transactions et des informations, comme les dossiers médicaux numérisés ou même les millions de numéros de cartes de crédit détenus par une grande banque, mais si elles ne sont pas également sécurisées par un développement logiciel infaillible, ces informations pourraient être sélectionnées par un attaquant (et, ironiquement, se retrouver sur un site comme Silk Road). Il n'y a pas de confidentialité sans sécurité.
Les bons joueurs, comme vous, peuvent avoir des logiciels vulnérables aux attaques par injection SQL et à d'autres vulnérabilités provenant du Top 10 de l'OWASP, il est donc essentiel de les préparer et de les atténuer efficacement. Si les développeurs sont formés pour coder en toute sécurité dès le début du processus, ces failles ne verront pas le jour. Il est impératif que les organisations adoptent une approche axée sur la sécurité et donnent à leurs équipes de développement les moyens de coder en toute sécurité. Nous pouvons vous montrer comment procéder de manière ludique, mesurable et ludique. Es-tu prêt ?
Inhaltsverzeichnis
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
